Primeiros Ataques Exploram Nova Vulnerabilidade Crítica no NGINX
Uma falha crítica no NGINX, denominada NGINX Rift (CVE-2026-42945), está sendo ativamente explorada em ataques, poucos dias após a divulgação da vulnerabilidade e lançamento de patches. A falha, que existe há 18 anos, permite a execução de código remoto em configurações específicas. A rápida exploração destaca a importância da aplicação imediata de patches e da análise de configurações de segurança.
MundiX News·20 de maio de 2026·4 min de leitura·👁 8 views
Atenção, leitores do MundiX! Uma vulnerabilidade crítica no NGINX, identificada como CVE-2026-42945 e apelidada de NGINX Rift, já está sendo explorada em ataques reais. Especialistas da VulnCheck relataram que as tentativas de exploração começaram poucos dias após a publicação da CVE e a disponibilização dos patches de segurança.
A falha, que reside no módulo ngx_http_rewrite_module, resulta em um heap buffer overflow, afetando tanto o NGINX Open Source quanto o NGINX Plus. A vulnerabilidade, presente no código há cerca de 18 anos, recebeu uma pontuação de 9.2 na escala CVSS, indicando sua gravidade. Pesquisadores da DepthFirst AI, que descobriram o problema, notaram que o erro estava presente no módulo de reescrita desde 2008.
De acordo com a VulnCheck, os atacantes já estão mirando honeypots com requisições HTTP especialmente preparadas. Patrick Garrity, especialista da empresa, alertou: "Um invasor não autenticado pode derrubar o processo worker do NGINX enviando uma requisição HTTP especialmente formatada. Se o ASLR estiver desabilitado no servidor, a execução remota de código (RCE) é possível". A raiz do problema reside no mecanismo de script interno do NGINX. O servidor calcula o tamanho do buffer e, em seguida, copia os dados para ele. No entanto, o estado interno do mecanismo muda entre essas etapas. Como resultado, uma flag especial não é transmitida corretamente, e o NGINX começa a escrever dados do usuário fora da área de memória alocada.
Na configuração padrão, a exploração da falha geralmente leva apenas à falha do processo worker e à reinicialização do servidor, resultando em um ataque de negação de serviço (DoS). No entanto, se a proteção ASLR (Address Space Layout Randomization) estiver desabilitada no sistema, a vulnerabilidade pode potencialmente permitir a execução remota de código. A rápida disponibilidade de um PoC (Proof of Concept) exploit, logo após a liberação dos patches, provavelmente contribuiu para a rápida atividade dos invasores.
Embora a exploração completa da vulnerabilidade possa ser complexa, exigindo configurações específicas de regras de reescrita, conhecimento da estrutura interna do servidor e ASLR desabilitado, a ameaça é real. Kevin Beaumont, renomado pesquisador de segurança, observou que sistemas Linux modernos raramente executam o NGINX sem ASLR, minimizando o risco de um "apocalipse RCE".
No entanto, a vulnerabilidade ainda é séria. A VulnCheck estima que cerca de 5,7 milhões de servidores NGINX potencialmente vulneráveis estão acessíveis na Internet. Embora o número de sistemas passíveis de exploração real seja provavelmente menor, os pesquisadores esperam um aumento nos ataques, especialmente com a disponibilidade do PoC. A F5, desenvolvedora do NGINX, já lançou correções nas versões NGINX Open Source 1.31.0 e 1.30.1, bem como no NGINX Plus R36 P4 e R32 P6. Administradores são fortemente aconselhados a aplicar os patches o mais rápido possível e revisar as configurações do módulo de reescrita.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Atenção, leitores do MundiX! Uma vulnerabilidade crítica no NGINX, identificada como CVE-2026-42945 e apelidada de NGINX Rift, já está sendo explorada em ataques reais. Especialistas da VulnCheck relataram que as tentativas de exploração começaram poucos dias após a publicação da CVE e a disponibilização dos patches de segurança.
A falha, que reside no módulo ngx_http_rewrite_module, resulta em um heap buffer overflow, afetando tanto o NGINX Open Source quanto o NGINX Plus. A vulnerabilidade, presente no código há cerca de 18 anos, recebeu uma pontuação de 9.2 na escala CVSS, indicando sua gravidade. Pesquisadores da DepthFirst AI, que descobriram o problema, notaram que o erro estava presente no módulo de reescrita desde 2008.
De acordo com a VulnCheck, os atacantes já estão mirando honeypots com requisições HTTP especialmente preparadas. Patrick Garrity, especialista da empresa, alertou: "Um invasor não autenticado pode derrubar o processo worker do NGINX enviando uma requisição HTTP especialmente formatada. Se o ASLR estiver desabilitado no servidor, a execução remota de código (RCE) é possível". A raiz do problema reside no mecanismo de script interno do NGINX. O servidor calcula o tamanho do buffer e, em seguida, copia os dados para ele. No entanto, o estado interno do mecanismo muda entre essas etapas. Como resultado, uma flag especial não é transmitida corretamente, e o NGINX começa a escrever dados do usuário fora da área de memória alocada.
Na configuração padrão, a exploração da falha geralmente leva apenas à falha do processo worker e à reinicialização do servidor, resultando em um ataque de negação de serviço (DoS). No entanto, se a proteção ASLR (Address Space Layout Randomization) estiver desabilitada no sistema, a vulnerabilidade pode potencialmente permitir a execução remota de código. A rápida disponibilidade de um PoC (Proof of Concept) exploit, logo após a liberação dos patches, provavelmente contribuiu para a rápida atividade dos invasores.
Embora a exploração completa da vulnerabilidade possa ser complexa, exigindo configurações específicas de regras de reescrita, conhecimento da estrutura interna do servidor e ASLR desabilitado, a ameaça é real. Kevin Beaumont, renomado pesquisador de segurança, observou que sistemas Linux modernos raramente executam o NGINX sem ASLR, minimizando o risco de um "apocalipse RCE".
No entanto, a vulnerabilidade ainda é séria. A VulnCheck estima que cerca de 5,7 milhões de servidores NGINX potencialmente vulneráveis estão acessíveis na Internet. Embora o número de sistemas passíveis de exploração real seja provavelmente menor, os pesquisadores esperam um aumento nos ataques, especialmente com a disponibilidade do PoC. A F5, desenvolvedora do NGINX, já lançou correções nas versões NGINX Open Source 1.31.0 e 1.30.1, bem como no NGINX Plus R36 P4 e R32 P6. Administradores são fortemente aconselhados a aplicar os patches o mais rápido possível e revisar as configurações do módulo de reescrita.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
